안다리 엘 범죄 그룹

Andariel Criminal Group은 한국에 위치한 단체를 표적으로 삼는 데 지속적으로 초점을 맞춘 국가 후원 위협 행위자입니다. 사이버 범죄자들은 또한 운영에 재정적으로 동기를 부여한 측면을 보여주었습니다. 이전에이 그룹은 한국의 ATM을 직접 표적으로 삼았지만 최근 심각한 공격에서 해커는 피해자 중 한 명에게 랜섬웨어 위협을 배포했습니다. Andarial Criminal Group은 한국 금융 보안 원에 의해 Lazarus APT (Advanced Persistent Threat) 그룹의 하위 그룹으로 지정되었습니다.

지금까지 Andariel Criminal Group의 희생자들은 서로간에 거의 관계가 없습니다. 각 피해자는 다른 대상 엔티티에 대한 명확한 링크없이 각자의 업종에서 활동했습니다. Infosec 연구원들은 제조, 미디어, 건설 및 홈 네트워크 서비스 부문에서 일하는 그룹의 피해자를 발견했습니다.

복잡한 공격 체인

Andariel Criminal Group이 수행하는 작전은 계속 진화하고 더욱 복잡해졌습니다. 최근에 관찰 된 캠페인은 여러 특수 손상된 페이로드로 구성되며, 각각은 별도의 공격 단계에 배포됩니다. 해커는 무기화 된 문서 파일을 초기 침해 벡터로 사용합니다. 문서는 탐지를 상당히 어렵게하는 정교한 감염 방법을 수행하도록 설계되었습니다. 대부분의 경우 무기화 된 Microsoft Word 문서가 피해자에게 전달되었지만 Andariel Criminal Group이 PDF 문서로 위장한 손상된 파일에 의존 한 경우도 몇 가지 있습니다. 실행시 문서는 명령 및 제어 (C2, C & C) 서버와의 연결을 설정하고 다음 페이로드를위한 환경을 준비하는 멀웨어 위협 인 두 번째 단계 페이로드를 제공합니다.

2 단계 악성 코드는 C2로부터받은 명령에 따라 5 가지 특정 기능을 수행 할 수 있습니다. 여기에는 절전 간격 설정, 수신 된 데이터를 로컬 파일에 저장, CreateThread ()를 통해 수신 된 데이터 실행, WinExec API 또는 cmd.exe를 통해 지정된 명령 실행이 포함됩니다. 공격의 세 번째 단계에서 Andariel Criminal Group은 피해자의 컴퓨터에 백도어 페이로드를 배치합니다. 백도어는 작업에서 대화식으로 실행되며 x64 및 x86 버전을 포함합니다. 이 위협 요소는 아이콘 및 관련 파일 이름을 사용하여 Internet Explorer 또는 Google Chrome으로 위장하려고 시도합니다. 3 단계 위협은 손상된 시스템에서 샌드 박스 환경의 징후를 검색합니다. Sandboxie 및 SunBelt SandBox에 속하는 특정 모듈이 있는지 확인합니다.

한 명의 피해자에 대해 Andariel Criminal Group은 맞춤형 랜섬웨어 위협을 제거하여 공격을 확대했습니다. 이 악성 코드는 AES-128 CBC 모드 알고리즘을 사용하여 '.exe,' '.dll,' '.sys', '.msiins'및 '와 같은 시스템에 중요한 확장자를 제외하고 크기에 관계없이 모든 파일을 암호화합니다. .drv. ' 잠긴 파일에 추가되는 기본 확장자는 '.3nc004'이며 이는 랜섬 노트가 포함 된 텍스트 파일에 부여 된 이름이기도합니다. 메모의 텍스트는 해커가 비트 코인으로 지불 한 몸값을 받고 싶어하며 두 파일을 무료로 해독 할 것을 제안합니다.